ハクソク

世界を動かす技術を、日本語で。

PayPalが6ヶ月間にわたりユーザー情報が漏洩したデータ侵害を公表

94日前原文(bleepingcomputer.com)

概要

PayPal Working Capitalローンアプリのソフトウェアエラーにより、約6ヶ月間にわたり顧客の個人情報が漏洩。 漏洩内容には氏名、メールアドレス、電話番号、ビジネス住所、社会保障番号、生年月日が含まれる。 被害者には2年間の無料クレジットモニタリングとID復旧サービスを提供。 PayPalシステム自体は侵害されていないとの説明。 過去にも類似の情報漏洩事件と規制違反による和解事例が存在。

PayPal Working Capitalアプリにおける情報漏洩事件

  • PayPal Working Capital(PPWC)ローンアプリ のソフトウェアエラーによる個人情報漏洩
  • 2025年7月1日から12月13日 まで、約6ヶ月間情報が外部に露出
  • 氏名、メールアドレス、電話番号、ビジネス住所、社会保障番号、生年月日 が漏洩対象情報
  • 2025年12月12日 にPayPalが問題を発見、翌日に原因となるコード変更をロールバック
  • 被害者数は約100名 とPayPal広報が説明
  • 不正取引も一部発生、被害者には返金対応を実施

PayPalの対応と顧客へのアドバイス

  • 2年間の無料三大信用情報機関クレジットモニタリング および ID復旧サービス (Equifax経由)を提供
    • 2026年6月30日までの登録が必要
  • 全ての影響を受けたアカウントのパスワードリセット を実施
    • 次回ログイン時に新しい認証情報の作成が必要
  • クレジットレポートやアカウント活動の監視 を推奨
  • PayPalは電話やメールでパスワードや認証情報を要求しない と注意喚起
  • フィッシング詐欺の二次被害防止 のための啓発

過去のPayPalにおける情報漏洩と規制違反

  • 2022年12月6日~8日 :大規模なクレデンシャルスタッフィング攻撃で 35,000アカウントが被害
  • 2025年1月 :ニューヨーク州が サイバーセキュリティ規制違反 でPayPalに 200万ドルの和解金 を要求
  • 規制違反が2022年の情報漏洩につながった と指摘

PayPal広報の追加説明

  • PayPalシステム自体は侵害されていない との公式見解
  • ソフトウェアエラーによる限定的な情報露出 であり、通知対象は約100名
  • 顧客への早期通知義務 を遵守

ITインフラとセキュリティ対策の重要性

  • 現代のITインフラ は手動ワークフローでは対応困難
    • 自動応答やインテリジェントワークフロー による信頼性向上が必須
  • Tinesガイド で既存ツールを活用した自動化とスケールの実現方法を紹介

Hackerたちの意見

記事によると、彼らは「PayPalはこのエラーの原因となったコード変更を元に戻しました。これにより、個人情報が漏洩する可能性がありました。法執行機関の調査のためにこの通知を遅らせたわけではありません」と主張しているみたい。これじゃ、2ヶ月近くの開示遅れの説明にはなってないよね。根本的なバグがまだ解決していなくても、少なくともアカウントデータが漏れたことは開示できたんじゃないかな?もちろん、その場合はバグの詳細は開示しなくてもいいけど。

これって「妙に具体的な否定」ってやつだよね。法執行機関の調査のせいでリリースを遅らせたわけじゃないって言ってるけど、リリースを遅らせなかったとは言ってない。恥ずかしいリリースを遅らせる理由は「法執行機関の調査」以外にもたくさんあるし、「やりたくない」ってのもその一つだよね。

クリスマスの直前?それは疑わしいな。

会社は現在、影響を受けたユーザーに対して、エクイファックスを通じて2年間の無料の三大信用監視サービスと身分回復サービスを提供しています。登録は2026年6月30日までに必要です。なんてセンスのいい対応なんだ。

企業はセキュリティなんてどうでもいいと思ってるんじゃないかな。最悪の事態は、クレジット監視の費用を負担することだから。被害者は彼らに対して意味のある訴訟を起こす力がないし。そうなったとしても、結局は集団訴訟の和解で弁護士が大金を手に入れて、被害者はほんの少ししかもらえないんだよね。

https://en.wikipedia.org/wiki/2017_Equifax_data_breach

WEROがついにヨーロッパでPayPalを潰してくれることを願ってるよ。名前はめちゃくちゃだけど。

残念ながら、普段買い物するお店ではまだ見かけないな。

Weroは標準のSEPA送金に対して何の価値も追加してないし、なんで存在してるのか全く理解できない。PayPalは少なくとも顧客保護の仕組みがあるのに。

いいね、PayPalの誰がこれで刑務所に行くの?

ここ数年ずっとこんなこと考えてたけど、俺ってバカだったな!企業は今や社会のエリートだよ。彼らは失敗しないし、重要な人たちには賄賂を渡してる。つまり、君や俺じゃないってこと。FBを巻き込んだ議会でのパフォーマンスは、彼らが議会のバカたちに法律を説明する限り、何をやっても問題ないっていうさらなる証拠だよ。(最高裁が見てる中で、彼らは大笑いしてる。)ここ数十年の企業のルールはこうだ:法律を守るよりも罰金を払った方が利益が出る。 (そして、議会が消費者を守るための新しい法律が必要な最新技術についていけてないなら、誰が気にするの?)

すごい!記事をそのまま受け取ってみよう: 「その金融テクノロジー会社は、事件を引き起こしたコードの変更を元に戻し、侵害を発見してから1日後に攻撃者のデータへのアクセスをブロックしたと述べています。」素晴らしい、これが君のバグだ。ここでのキーワードはバグ。君の名前がこのコミットの横にある。君は刑務所に行くべき?たぶん違うよね。君がバグを持ったことがない、セキュリティホールを作ったことがない、プロダクションをダウンさせたことがない、間違いを犯したことがないって言ってみて。人間のエラーで刑務所に行きたいって言ってみて。意図ではなく、エラーだよ。

最近PayPalにサインアップしようとしたんだけど、「しようとした」ってのがポイントで、彼らのクソみたいな壊れたプロセスが銀行情報などを確認できなかったんだ。顧客獲得の無能さを見て、セキュリティ面での無能さも驚きじゃないよね。

一般的に、オンラインサービスに新しく登録するのがどんどん難しくなってるし、長期間使ってないサービスに戻るのも大変になってきてると思う。みんな過剰な自動化で、理由もなくブロックされて、どんどん侵入的な「確認」手続きを求めてくる。Microsoftアカウントなんてほとんど使ってないし、何年もログインしてないかも。でも最近、子供にMinecraftのマイクロトランザクション用にお金をあげたくて、ログインするのが確認やコード、リセットの嵐で大変だった。そして、購入しようとしたら? 曖昧なエラーメッセージで拒否されて、結局詐欺部門に連絡するように言われた。お金を払おうとしてるだけなのに、全然ユーザーに優しくないよね。こういう会社ではセキュリティが優先されすぎてる気がする。

一時期、インターネットではPayPalが最も信頼されている送金方法だったけど、今はランダムな会社と個人情報を共有するのを制限しているだけマシだね。最近は、StripeやPlaidみたいな会社が、かつてのPayPalのようにウェブサイトに支払いを追加するのをほぼスムーズにしているし、GoogleやApple Payもある。もうPayPalを使う必要があるのかな?サポートはひどいし、製品は遅くて古い。消費者としては、PayPal(とその補助金)を完全にやめる理由が見当たらないよ。

PayPalは、少なくとも一時期は外国取引をサポートするのが簡単だったんじゃない?私が使ったとき(数年前)はStripeはアメリカ限定だったし。

PayPalのG&Sは、p2p取引で何か問題があった場合、ほぼ必ずお金が戻ってくるよ。私も一度か二度詐欺にあったけど、いつもG&Sを使ってて、全額返金された。これを使わないと、PayPalのF&FやZelle、Cashapp、Venmoなんかではほぼ詰むと思うよ。少なくとも私の知る限りでは。

確か、StripeとPlaidはPayPalが対応している国のほんの一部しかサポートしてないよね。PayPalはまだまだグローバルなブランドで、ほとんどの人がどこでも知ってる。

インターネットのある時点で、PayPalはお金を送受信する最も信頼できる方法だった。 俺の星ではそうじゃないし、何年もかけて1億ドル以上を通してきたけどね。

PayPalは、実際に使えるマイクロペイメントの手数料構造を提供している唯一の場所だと思う。少なくとも私が知ってる限りでは。ardour.orgでは、毎月何千件もの1ドルの支払いがあるけど、PayPalを使うことで1ドルの取引につき23セント節約できてるよ。

なんで今でもPayPalを使う必要があるの? Best Buyのウェブサイトでクレジットカードで直接購入しようとすると、いつも注文がキャンセルされるんだ(たぶん彼らの詐欺アルゴリズムのせい)。でもPayPalを使うと、ちゃんと注文が通るんだよね。

もう20年近く前、PayPalが理由もなく私の15ドルを盗んだ。大手サイトでビデオゲームを買ったときに使ったんだけど、6ヶ月間そのまま放置して、eBayで何かを買おうとしたらすぐにロックアウトされた。それから、認証されたライセンスやら何やらを要求されて、取り戻すのにいろいろと手間がかかった。それ以来、あいつらにはクソ食らえって言ってるけど、一度も後悔したことはない。毎年、あいつらが正しい選択だったことを証明するようなことが起きてる。理由もなく何百万ドルも押収してるんだろう?まだ続いてるなんて信じられない。いつかお金持ちが訴えて、あいつらを潰してくれることを願ってるよ。

妊娠祝いのために同僚から集めたお金を送るためにPayPalに登録しようとしたんだけど、まずは登録して、銀行情報を入力して、銀行口座を使うために入金確認をしなきゃいけなかった。そうしたら、アカウントがすぐにロックされちゃって、カスタマーサポートに電話してIDをスキャンしないと使えなかった。結局、アカウントを削除してもらうために電話して、オンラインでデジタルギフトカードを買ったよ。

企業は未請求の金銭で利益を得られないと思ってたんだけど、そういう資金は最終的に未請求財産を扱う州の機関に渡されるんじゃないの?(もしそうなら、原因は欲深さや悪意じゃなくて無能さかもしれないけど、無能さも人のお金を扱うには良くないよね)。

ずっと前にRedditで見た投稿を思い出したんだけど、「AMA: PayPalが$600,000の俺のお金をロックしたのは、俺のゲームが売れすぎて詐欺だと思われたから」って言ってた。結局、これはNotchが自分のウェブサイトでMinecraftの早期アルファ版を売ってた話で、その時は確かに詐欺に見えたんだよね。

彼らは独占状態で、意味のある代替手段がないし、彼らだけが独占ってわけでもないよね。

PayPalが俺からお金を盗んだことにまだ腹が立ってる(これは多分10年くらい前の話)。インドで新しいPayPalアカウントを作ったら、デビットカード(マスターカードかビザ)を追加する必要があったんだ。それで、カードを確認するために1ドルか2ドルを引き落として、後で返金するって言われた。クソ野郎どもが約100ルピーを盗んで、返金もしてくれなかった!その時は学生でお金がなかったから、めちゃくちゃ痛かったよ!その中で、インドは非銀行のオンライン送金に関する規制を厳しくして、正確には覚えてないけど、PayPalはインド市場から部分的に撤退することにしたと思う(競争できなかったか、規制に従いたくなかったか)。確か、eBayもその頃インドで閉鎖されたはず。

一番下のPayPalの反応は、上に持っていくべきだと思う。「データ漏洩」や「露出したデータ」を見るのは、影響を受けた人数や不正アクセスがあったかどうかが分からないと、すごく怖いよね。

まだPayPalを使ってる人いるの?ここでは全然話題に出ないよね。彼らはずっと詐欺みたいな会社だったけど、特に売り手にとっては最悪。いつも買い手の味方だから、スタートアップの資金を何ヶ月も理由もなくロックしたりとか。私の売り手アカウントは「詐欺」って理由で終了させられたし、異議申し立てもできなかった。数年後には、買い手アカウントも「詐欺」で終了。詐欺に見えるようなことには一切関わってないのに、AIにはそう見えたんだろうね。彼らに悪評がたくさんつくことを願ってるよ。